Tiga puluh lima tahun setelah cerita pertama tentang kucing dan tikus dalam dunia keamanan informasi, kita kembali di sini.
Sebagian besar dari kita mungkin tidak menganggap diri kita atau organisasi kita cukup menarik untuk menjadi target aktor ancaman negara-bangsa, tetapi seperti banyak penilaian diri dalam keamanan, hal ini mungkin tidak lagi berlaku. Seperti yang kami uraikan dalam laporan kami, “Pacific Rim: Inside the Counter-Offensive—The TTPs Used to Neutralize China-Based Threats,” para penyerang yang didukung oleh China telah terlibat dalam pertempuran berkelanjutan dengan Sophos mengenai kendali perangkat perimeter. Tujuan para penyerang tersebut mencakup penyalahgunaan perangkat yang bersifat terarah maupun sembarangan.
Aktivitas musuh ini tidak hanya ditujukan pada satu perusahaan saja. Kami telah mengamati target yang terhubung dengan internet yang sedang diserang, dan telah menghubungkan banyak aktor ancaman yang terlibat dengan serangan terhadap vendor keamanan jaringan lainnya, termasuk pada mereka yang menyediakan perangkat untuk penggunaan rumah dan kantor kecil. Memahami mengapa kampanye serangan ini menjadi prioritas jangka panjang bagi musuh dapat membantu target yang berpotensi, setelah aman dari agresi semacam ini, untuk melihat bagaimana aturan lama dalam mengevaluasi risiko perusahaan telah berubah—dan apa artinya untuk jalan ke depan.
Perubahan Dasar dalam Pola Serangan
Mengapa aktor ancaman yang bekerja untuk negara besar peduli dengan target kecil? Kebanyakan profesional keamanan menganggap lawan utama mereka adalah penjahat yang termotivasi secara finansial seperti geng ransomware, yang sering mencari target dengan risiko rendah. Meskipun geng-geng tersebut dikenal karena mengeksploitasi perangkat jaringan yang belum dipatch, mereka umumnya tidak memiliki kemampuan untuk terus mencari dan menemukan eksploitasi zero-day baru untuk mendapatkan akses.
Sebaliknya, dengan Pacific Rim, kami mengamati—dengan keyakinan tinggi dalam pengamatan dan analisis kami—proses pengembangan eksploitasi zero-day yang terkait dengan institusi pendidikan di Sichuan, China. Eksploitasi ini tampaknya telah dibagikan dengan penyerang yang didukung negara, yang masuk akal bagi sebuah negara yang mewajibkan berbagi informasi melalui undang-undang pengungkapan kerentanannya.
Selain itu, kami melihat para penyerang mengubah fokus target mereka sepanjang tahun-tahun berlangsungnya Pacific Rim. Secara umum, serangan awal tampaknya dirancang untuk mempengaruhi setiap perangkat yang rentan. Seiring dengan meningkatnya perlawanan kami terhadap upaya mereka, para penyerang mulai melakukan serangan yang lebih terfokus.
Namun, itu bukan gambaran keseluruhan; ada langkah awal yang signifikan sebelum fase serangan ke segala perangkat. Seperti yang kami temukan ketika kami menyelidiki kasus-kasus ini, tidak jarang bagi penyerang untuk pertama-tama memanfaatkan kerentanannya yang bernilai tinggi dalam serangan terfokus dengan cara yang tidak terlihat. Setelah mereka mencapai tujuan utama mereka, atau mencurigai bahwa mereka mungkin terdeteksi, barulah mereka meluncurkan serangan terhadap semua perangkat yang tersedia untuk menciptakan kebingungan dan menutupi jejak mereka.
Dengan begitu banyak serangan yang saling tumpang tindih, tergantung pada apa yang menjadi sasaran penyerang, perangkat apapun bisa berguna bagi mereka. Para penyerang yang terlibat dalam Pacific Rim, dan yang lainnya seperti mereka, tidak hanya mencari rahasia militer dan properti intelektual; mereka juga berusaha menyamarkan upaya mereka yang lebih bernilai tinggi, dan membingungkan mereka yang berusaha menghentikan mereka. Untuk tujuan membangun “jaringan penyamaran” dan umumnya menciptakan masalah, mengkompromikan dan menyalahgunakan sebanyak mungkin perangkat sangat sesuai dengan tujuan penyerang.
(Pada contoh lain dalam industri, kita bisa melihat serangan ProxyLogon, yang dikaitkan oleh Microsoft dengan kelompok yang berbasis di China yang disebut HAFNIUM, yang tampaknya pertama kali digunakan secara terfokus sebelum diluncurkan secara global. HAFNIUM kemudian mempengaruhi server Exchange di seluruh dunia selama bertahun-tahun setelah penggunaan awal yang terfokus.)
Dengan berkembangnya tujuan dan pola serangan, sikap terhadap pemeliharaan sistem juga harus berkembang.
Opt-out Tidak Lagi Menjadi Opsi
Sebagai target yang menarik, Sophos mengerahkan banyak sumber daya untuk secara aktif membela platform kami dan mempercepat bukan hanya perbaikan untuk kerentanannya, tetapi juga peningkatan untuk membantu dalam deteksi dan pencegahan lebih awal. Namun, sebagian kecil dari pelanggan kami tidak memilih untuk mengonsumsi perbaikan tersebut dengan tepat waktu. Serangkaian insiden ini, dan efek dari pilihan-pilihan pelanggan tersebut terhadap kesehatan internet secara keseluruhan, mendorong CEO Sophos, Joe Levy, untuk menyerukan perubahan pada model tanggung jawab bersama dalam pemeliharaan perangkat keamanan jaringan.
Dalam serangan massal yang kami amati—yang bersifat sembarangan dan berusaha menginfeksi setiap firewall yang dapat ditemukan—dampaknya terhadap organisasi yang terkompromi adalah tiga kali lipat. Pertama, perangkat tersebut dapat digunakan untuk menyamarkan lalu lintas penyerang sebagai node proxy dalam jaringan perangkat yang terkompromi dengan menggunakan sumber daya korban. Kedua, perangkat tersebut memberikan akses ke perangkat itu sendiri, memungkinkan pencurian kebijakan yang menunjukkan postur keamanan serta kredensial yang disimpan secara lokal. Ketiga, perangkat tersebut menjadi titik loncat untuk serangan lebih lanjut dari perangkat itu sendiri, yang merupakan bagian terpenting dari perimeter jaringan.
Ini bukan situasi yang diinginkan oleh siapa pun yang bertanggung jawab. Itulah sebabnya sangat penting untuk tidak hanya menerima dan menerapkan pembaruan produk besar yang terus meningkatkan ketahanan pertahanan yang dirancang dalam arsitektur firewall, tetapi juga untuk memungkinkan konsumsi otomatis hotfix keamanan yang digunakan untuk memperbaiki kelemahan keamanan yang sedang dieksploitasi atau yang membutuhkan pembaruan darurat untuk mencegah eksploitasi. Perlindungan yang luas diterapkan pada hotfix, dan mereka dipertahankan seminimal mungkin karena sifat otomatisnya. Kejadian-kejadian di tahun 2024 telah membuat jelas bahwa vendor harus benar-benar serius menangani tanggung jawab ini, termasuk berhati-hati dalam proses pengujian dan peluncuran serta sebanyak mungkin transparansi tentang apa yang mereka lakukan, tetapi itu tidak mengurangi kebutuhan untuk menerapkan patch dengan segala upaya yang cepat, setiap saat, di mana pun.
Sangat Penting
Area lain di mana pelanggan dan mitra kami dapat bekerja sama adalah minimisasi permukaan serangan. Beberapa kerentanannya yang menjadi target dalam serangan ini ada pada portal pengguna dan administrator yang tidak pernah dirancang untuk menghadapi internet terbuka. Kami sangat menyarankan untuk mengekspos hanya layanan yang sangat minimal ke internet. Layanan yang harus terpapar sebaiknya diamankan di balik gerbang akses jaringan zero-trust (ZTNA) dengan otentikasi multifaktor (MFA) yang sesuai dengan FIDO2. MFA adalah saran yang cukup kuno (kami membicarakannya sebagai demikian dalam Laporan Musuh Aktif awal tahun 2024), tetapi ini adalah Keamanan 101 dan terbukti mengurangi permukaan serangan. Dalam Pacific Rim, serangan beralih ke mode “musuh aktif” yang dikendalikan manusia; beberapa perangkat yang terkompromi diakses melalui kredensial yang dicuri, bukan kerentanannya yang belum terautentikasi.
Selain itu, begitu akses diperoleh ke perangkat yang terkompromi, beberapa penyerang akan mencuri kredensial yang disimpan secara lokal dengan harapan bahwa kata sandi ini akan digunakan kembali di jaringan organisasi. Bahkan ketika firewall itu sendiri bukan bagian dari sistem autentikasi tunggal (SSO), pengguna sering menggunakan kata sandi yang sama yang mereka gunakan untuk akun Entra ID mereka. Ini adalah alasan lain mengapa sangat penting agar sistem tidak hanya dapat diakses dengan kata sandi, tetapi diautentikasi dengan faktor kedua seperti sertifikat mesin, token, atau tantangan aplikasi.
Ini kembali ke masalah memperbarui perangkat yang dibahas di atas. Misalnya, dalam kasus CVE-2020-15069, meskipun perbaikan dirilis pada 25 Juni 2020, kami masih mengamati penyerang yang mengkompromikan firewall untuk mencuri kredensial lokal dan membangun perintah dan kontrol jarak jauh hingga 18 Februari 2021. Idealnya pembaruan dikonsumsi segera, tetapi jika fungsi itu dinonaktifkan, itu bisa menjadi kesempatan bagi musuh kita di masa depan.
Hal-Hal Kecil Memiliki Arti Besar
Pelajaran lain yang dapat diambil dari pengalaman kami adalah bahwa tidak ada kompromi yang tidak penting. Pada penyelidikan awal terhadap alat dan teknik yang tampaknya tidak canggih, Anda mungkin menemukan petualangan yang tidak ada habisnya, dengan liku-liku yang mengejutkan Anda. Meskipun sebuah komputer kecil yang dirancang untuk menjalankan sistem konferensi video (titik masuk awal untuk semua yang terjadi dalam Pacific Rim) bisa saja diabaikan dan dibersihkan, itu akhirnya membawa kami untuk menemukan lebih banyak aktivitas. Pencarian ini mengarah pada penemuan rootkit canggih yang kami sebut Cloud Snooper, beberapa metode baru untuk menyalahgunakan Amazon Web Services (AWS) – dan lima tahun perburuan melawan perburuan, perburuan melawan perburuan—atau aksi kucing dan tikus.
Perangkat yang tidak memiliki hak istimewa seperti peralatan konferensi video tersebut adalah favorit bagi musuh di era modern karena mereka sering kali tidak terpantau, dirancang khusus, dan memiliki daya lebih. Mereka melakukan hal sederhana seperti menggerakkan tampilan, namun mereka memiliki kekuatan komputasi penuh dari workstation canggih yang hanya ada sepuluh tahun yang lalu. Kelebihan daya, ditambah dengan kurangnya pemantauan dan perangkat lunak keamanan yang tersedia, adalah kombinasi sempurna untuk tetap tersembunyi, mendapatkan ketahanan, dan melakukan penelitian terhadap aset yang lebih berharga. Panggilan itu datang dari dalam rumah…
Terkadang bug datang dari rantai pasokan dan bisa lebih sulit diatasi. Bug tersebut terutama membutuhkan agar pembela menangani masalah sebagai tanggung jawab bersama. Misalnya, pada April 2022, kami menemukan bahwa penyerang mengeksploitasi kerentanannya yang sebelumnya tidak diketahui dalam OpenSSL, pustaka enkripsi sumber terbuka yang populer. Kami melaporkannya ke tim OpenSSL pada 2 April 2022; itu diberikan CVE-2022-1292 (skor dasar CVSS: 9,8) dan diperbaiki pada 3 Mei oleh tim OpenSSL. Meskipun Pacific Rim sendiri sudah menyibukkan kami saat itu, tidak ada pertanyaan bahwa kami akan meluangkan waktu untuk memberitahu tim OpenSSL dan mendukung upaya mereka untuk melakukan patch; itu adalah hal yang dilakukan oleh anggota komunitas yang baik.
Dalam konteks tersebut, selain pengujian dan tinjauan keamanan aplikasi internal, Sophos juga menggunakan penilaian pihak ketiga dan mengoperasikan program bug bounty, cakupan (dan pendanaan) yang terus berkembang sejak peluncurannya pada Desember 2017. Meskipun upaya ini sebagian bersifat pencegahan, yang lainnya secara alami bersifat reaktif. Dan sekali lagi, itu membutuhkan pelanggan dan mitra kami untuk bekerja sama dengan kami untuk segera menerapkan perbaikan atau, idealnya, memungkinkan perbaikan darurat untuk diterapkan secara otomatis.
Lalu, Bagaimana Selanjutnya?
Mereka yang telah membaca The Cuckoo’s Egg karya Clifford Stoll tahu betul bahwa masalah keamanan besar kadang-kadang pertama kali muncul sebagai keanehan kecil. Buku tersebut mendokumentasikan mungkin kasus pertama dalam sejarah “peretasan” yang didukung negara pada pertengahan 1980-an. Sophos telah memainkan permainan kucing dan tikus yang sama yang dimainkan Stoll dan dimenangkan (sebanyak yang bisa dimenangkan) lebih dari 35 tahun yang lalu, ketika perusahaan kami masih berusia beberapa tahun. Ketidaksesuaian akuntansi 75 sen-nya adalah perangkat konferensi video kami, dan apa yang dimulai dengan hal kecil dalam kedua kasus tersebut akhirnya menjadi pengalaman yang mendefinisikan bagi mereka yang terlibat. Banyak teknik yang digunakan Stoll dalam penyelidikan The Cuckoo’s Egg masih menjadi bagian dari set alat pertahanan hingga hari ini. Dengan pemahaman bahwa pekerjaan pembela sebenarnya tidak pernah selesai, kami memilih untuk menggunakan pengalaman Pacific Rim sebagai sarana untuk mengevaluasi kembali dan memperluas kemampuan pembela untuk berkolaborasi dan berkembang.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan qfirewall Indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi qfirewall.id untuk informasi lebih lanjut!